Οι χάκερ εξαπολύουν νέες επιθέσεις για να κλέψουν τα διαπιστευτήρια του Steam χρησιμοποιώντας μια τεχνική phishing Browser-in-the-Browser, μια μέθοδος που έχει αρχίσει να αυξάνεται σε δημοτικότητα.
Η τεχνική Browser-in-the-Browser είναι μια μοντέρνα μέθοδος επίθεσης που περιλαμβάνει τη δημιουργία πλαστών παραθύρων του προγράμματος περιήγησης εντός του ενεργού παραθύρου, κάνοντάς το να εμφανίζεται ως αναδυόμενη σελίδα εισόδου για μια στοχευμένη υπηρεσία σύνδεσης.
Το Group-IB δημοσίευσε μια νέα αναφορά σχετικά με το θέμα, όπου δείχνει πώς μία νέα μέθοδος της τεχνικής 'Browser-in-the-Browser' στοχεύει τους χρήστες Steam, κυρίως τους λογαριασμούς από επαγγελματίες παίκτες.
Αυτές οι επιθέσεις phishing στοχεύουν στην πώληση πρόσβασης σε αυτούς τους λογαριασμούς, με ορισμένους εξέχοντες λογαριασμούς Steam να εκτιμώνται μεταξύ 100.000 και 300.000$.
Δόλωμα με πρόσκληση σε τουρνουά
Το Group-IB αναφέρει ότι το κιτ phishing που χρησιμοποιήθηκε στην καμπάνια Steam δεν είναι ευρέως διαθέσιμο σε πειρατικά φόρουμ ή σε αγορές μέσο του dark web. Αντίθετα, χρησιμοποιείται ιδιωτικά από χάκερ που συγκεντρώνονται στα κανάλια Discord ή Telegram για να συντονίσουν τις επιθέσεις τους.
Τα υποψήφια θύματα στοχοποιούνται με απευθείας μηνύματα στο Steam, προσκαλώντας τα να συμμετάσχουν σε μια ομάδα για τουρνουά LoL, CS, Dota 2 ή PUBG.
Οι σύνδεσμοι που μοιράζονται με την μέθοδο ηλεκτρονικού "ψαρέματος" έχουν σαν επίκεντρο έναν ψεύτικο ιστότοπο που φαίνεται να είναι ένας οργανισμός που χορηγεί και φιλοξενεί διαγωνισμούς esports.
Για να εγγραφούν σε μια ομάδα και να παίξουν σε κάποιον διαγωνισμό, οι επισκέπτες καλούνται να συνδεθούν μέσω του λογαριασμού τους στο Steam. Ωστόσο, το νέο παράθυρο σελίδας σύνδεσης δεν είναι ένα πραγματικό παράθυρο του προγράμματος περιήγησης, αλλά ένα ψεύτικο παράθυρο που δημιουργήθηκε στην τρέχουσα σελίδα, γεγονός που καθιστά πολύ δύσκολο τον εντοπισμό ως επίθεση phishing.
Οι σελίδες προορισμού υποστηρίζουν μέχρι και 27 γλώσσες, εντοπίζοντας τη γλώσσα από τις προτιμήσεις του προγράμματος περιήγησης του θύματος και φορτώνοντας τη σωστή.
Μόλις το θύμα εισαγάγει τα διαπιστευτήριά του, μια νέα φόρμα του ζητά να εισαγάγει τον κωδικό 2FA. Εάν το δεύτερο βήμα είναι ανεπιτυχές, εμφανίζεται ένα μήνυμα σφάλματος.
Εάν ο έλεγχος ταυτότητας ωστόσο είναι επιτυχής, ο χρήστης ανακατευθύνεται σε μια συνήθως νόμιμη διεύθυνση URL, για να ελαχιστοποιηθούν οι πιθανότητες να συνειδητοποιήσει το θύμα την απάτη.
Σε αυτό το σημείο, τα διαπιστευτήρια του θύματος έχουν ήδη κλαπεί και έχουν σταλεί στους χάκερς. Σε παρόμοιες επιθέσεις, οι δράστες δρουν άμεσα, αλλάζοντας κωδικούς πρόσβασης και διευθύνσεις email για να κάνουν πιο δύσκολο για τα θύματα να ανακτήσουν τον έλεγχο των λογαριασμών τους.
